SAN 관리 보안 ‘산 넘어 산'

SAN Security : Beyond Zoning

SAN 관리 보안 '산 넘어 산'



오늘날 SAN 보안은 중앙으로 무대를 이동하고 있다. 점점 많은 회사들이 데이터 센터 외부로 SAN을 확장시키고 있기 때문이다. 특히 미국에서는 금융서비스 현대화법이나 HIPPA, 사베인 옥슬리 법, 유럽 사생활 지침 같은 보안 규정이 강화되면서 더욱 확대되고 있다. 이런 규제들은 유럽이나 아시아 국가에서도 마찬가지다. 때문에 회사들은 SAN 사이를 돌아 다니는 사용자들의 데이터를 보호해야하는 중압감을 안고 있다.

트로이 목마, 웜, DoS 공격의 끊이지 않는 출현으로 장비 보안 인식이 증대하고 있다. 시스코 스토리지 담당 기술 마케팅 엔지니어인 링컨 데일(Lincoln Dale)은 "SAN이 연결된 호스트 하나가 있을 경우 SAN으로 연동된 다른 호스트를 중단시키고, SAN 내부 무허가 데이터에 접근하거나 현존하는 방화벽, 침입 방지 시스템을 뚫을 가능성이 있다"고 말한다. 파이버 채널이 IP나 이더넷보다 더 안전하다는 신화는 거짓으로 판명되었다고 데일은 덧붙인다. 그는 이어 "사람들은 파이버 채널 보안 문제에 귀 기울이지 않지만, 문제가 없어서 그런 것은 아니다. IP 기반 네트워크와 비교할 때 SAN의 상대적인 규모 탓에 SAN 공격이 대세가 아니기 때문"이라고 데일은 설명한다.

SAN 보안 문제가 주목을 끌고 있는 또 다른 이유는 스토리지 트래픽을 전송하기 위해 IP를 사용하는 경향이 크기 때문이다. "재해복구 데이터 센터와 비즈니스 연속성 사이에서 SAN 확장을 위해 IP 인프라스트럭쳐와 FCIP(Fibre Channel over IP)를 사용하면 전용회선을 쓰는 것 보다 좀 더 비용 절감 효과가 있다. 대다수 복제 솔루션은 데이터를 비암호화된 상태에서 전송한다. 비보안 네트워크를 경유할 때 주요 데이터 보호 장치가 꼭 필요하다"라고 데일은 말한다. 또 iSCSI(SCSI over IP)를 사용해 스토리지에 저렴한 비용으로 접근하는 경향이 강해지고 있다. "iSCSI의 경우 호스트와 서버가 탑재된 이더넷 카드를 이용해 HBA(Host Bus Adapter)와 스위치상의 파이버 채널 포트를 배제하면서 네트워크와 연결시킬 수 있기 때문에 대중적이다. 하지만 스토리지 데이터가 불안정하면 iSCSI와 FCIP 모두 IP 네트워크상의 SAN 트래픽을 보호해야 한다"고 데일은 덧붙인다.

결국 침입자로부터 보호하는 것처럼 SAN 보안에 있어서도 데이터 손실과 누락을 예방하는 것이 중요하다. 데일에 따르면 "보안구역 설정 에러(zoning configuration error)는 국제적인 분쟁이 일어나는 것 같은 재난을 초래할 수도 있다"는 것이다.


엔드 투 엔드 접근 필요
지금까지 일반적인 SAN보안 액션 중 하나가 보안구역 설정 또는 파이버 채널 내부에서 액세스 제한을 강화시키는 것이었다. "보안구역설정은 아무 것도 안하는 것보다야 낫지만 공격받기가 아주 쉽다. 지도에 나타나지 않은 비밀 군대 막사를 지키는 것과 유사하지만, 발견 시 보호할 병사가 하나도 없는 것과 같다. 하드웨어 기반의 보안구역설정의 경우 스위치를 통과할 때 모든 프레임이 체크되기 때문에 훨씬 낫지만 이역시 위장 주소를 막을 대책은 없다"고 데일은 설명한다.

시스코는 시스코 MDS 9000 제품군을 통해 LAN과 WAN 보안 방식 상의 전문적 기술을 SAN이라는 독특한 도전 영역에 응용해왔다. 가트너는 지난 2004년 파이버 채널 SAN 조직 보안용 시스코 MDS 9000 시리즈 멀티레이어 SAN 스위치에 대해 A++ 점수를 매겼다. 시스코 MDS 9000을 차별화시키는 것은 SAN 보안 사항이라는 6가지 특징에 주목하고 있기 때문이다<그림 1 참조>.

패브릭 액세스 - 조직 액세스와 조직 서비스 보호
타킷 액세스 - 타깃과 LUN(Logical Unit Numbers) 보안 액세스
SAN 패브릭 프로토콜 - 스위치 투 스위치 파이버 채널 프로토콜 통신에 대한 권한 및 보안 통신
IP 스토리지 액세스 - 사고 복원이나 애플리케이션 복원용 두 데이터 센터 안에서 SAN을 상호 연결시켜주는 FCIP 보호, 저렴한 엔드 서버에 저렴한 비용을 제공하는 iSCSI 서비스 보호
데이터 보존과 비밀 유지 - 전송 중 데이터 암호화
SAN 매니지먼트 액세스- 관리 서비스를 위한 안전한 액세스

"여섯 가지 요소 중 하나라도 없으면 효율적인 솔루션을 기대하기 힘들다. 관리 보안이 절충되면 침입자는 다른 보안 작용을 공격하거나 무마시키기 위해 구성을 뒤바꿀 수 있다"고 데일은 말한다. SAN 보안에 시스코가 접근하는 방식은 대부분의 보안 기능이 시스코 MDS 9000 시리즈 스위치에 탑재돼 옵션 라이센스를 구매할 필요가 없다는 점이 특징이다.

패브릭·타킷 액세스 보안
SAN 보안은 시스코가 접근하는 방식은 대부분의 보안 기능이 시스코 MDS9000 시리즈 스위치에 탑재돼 옵션 라이센스를 구매할 필요가 없다는 점이 특징이다. 인증되지 않은 패브릭·타깃 액세스는 애플리케이션 데이터, LUN 보전, 애플리케이션 성능을 처리할 수 있다. 시스코 MDS 9000 시리즈 멀티레이어 스위치는 보안 위험으로 보호할 특징을 가지고 있다.

파이버 채널 보안구역 설정 - 보안구역 설정은 하나의 호스트가 다른 호스트 디스크에 접근하는 것을 막고 데이터를 파괴하면서 동일한 파이버 채널 내부 장비들 사이의 커뮤니케이션을 제한한다. 시스코 MDS 9000 시리즈 스위치는 2,000~20,000 지역 가입자용 소프트웨어 기반 보안구역 설정(soft zoning)과 하드웨어 기반 보안구역 설정(hard zoning) 두 가지를 지원한다. 스위치는 하드웨어 ACL(Access Control List)를 모든 파이버 채널 프레임에 적용하면서 하드웨어 기반의 보안구역 설정을 강화시킨다.

LUN·검색 가능 보안구역 설정 - 시스코 MDS 9000 시리즈 스위치에 적합한 기능인 LUN 보안구역설정은 정밀한 프레임 검사와 하드웨어 기반의 보안구역 설정을 혼합한 것이다. IT 관리자는 스토리지 배열 내부에 명시된 LUN으로 액세스를 제한할 수 있다. 검색 가능(Read-Only) 보안구역 설정은 스토리지로 라이트 액세스(write access)가 필요 없는 멀티미디어 서버 같은 시스템에 유용하다.

VSAN - VSAN은 동일한 스위치에 물리적으로 연결된 장비를 독립시켜 파이버 채널 조직에 보안과 안정성을 증대시킨다. 데일은 "어느 조직 내부의 결함은 VSAN 안에 포함돼 다른 VSAN으로 확산되지 않는다"고 전한다. 시스코 MDS 9000 VSAN 내부 라우팅 기능을 사용하면 예외적 허용을 제외하고는 서로 다른 VSAN 장비 사이에서 어떠한 소통도 이뤄지지 않는다.

포트 보안 - IT 관리자가 특정 포트용 포트 보안 기능을 작동시키면 장비는 포트 보안 데이터베이스 안에 주어진 포트로 등록되어 있을 경우에만 포트와 연결될 수 있다.

포트 모드 보안 - 이 모드는 에지 포트(edge port)가 ISL용으로 우연히 사용되는 것을 막기 위해 포트 기능을 제한한다.

FC-SP DH-CHAP - FC-SP DH-CHAP는 호스트 투 스위치와 스위치 투 스위치 커뮤니케이션용 데이터 보전과 인증을 돕는다. 모든 주요 HBA 벤더와 SAN 스위치 벤더는 FC-SP DH-CHAP를 지원한다. 인증은 스위치에서 지역이나 중앙에 위치한 래디우스(RADIUS) 또는 TACACS+ 서버를 통해 원격으로 실행될 수 있다. FC-SP DH-CHAP는 위조 주소를 100% 차단할 수 있는 유일한 기술이다.




SAN 패브릭 프로토콜 보안
패브릭·타깃 액세스용 시스코 MDS 9000 시리즈 스위치의 여러 기능은 SAN 프로토콜 보안 기능도 돕는다. 추가적인 SAN 프로토콜 보안 기능은 아래와 같다:

분열 재구성 패브릭 거절(Disruptive Reconfigure Fabric Rejection) - 이 기능은 작동 정지를 유발할 수 있는 패브릭 재구성 요구를 거부함으로써 관리자가 할 수 있는 에러를 방지할 수 있는 기능이다.

IBM FICON(Fiber Connection) 패브릭 바인딩 - 시스코 MDS 9000 스위치는 스위치와 도메인 ID 기반 FICON 패브릭 내에서 간섭을 제한한다.

파이버 채널 ID 캐쉬, 지속적인 파이버 채널 ID 할당, 정적인 파이버 채널 ID 할당 - 이 기능들은 스위치 재시작과 물리적 포트에 관계없이 pWWN(worldwide port name)으로 할당된 파이버 채널 ID를 끊임없이 제공한다.


IP 스토리지 보안
iSCSI는 파이버 채널보다 저렴한 가격으로 SAN 액세스를 제공한다. IP 서비스 모듈이나 멀티프로토콜 서비스 모듈을 장착할때, 시스코 MDS 9000 스위치는 IP SAN 확장용 FCIP도 사용할 뿐 아니라, 호스트(iSCSI initiators)에서 들어오는 iSCSI 커넥션을 받아들이도록 배열할 수 있다. 시스코 MDS 9000 스위치의 보안 기능은 다음과 같다:

iSCSI 인증 - iSCSI 세션을 확립하기 전에 스위치는 CHAP를 사용하는 iSCSI 이니시에터(initiator)라는 것을 인증한다.

동적 WWN과 정적 WWN 할당을 지속시키는 iSCSI 이니시에터 - 파이버 채널로 연결된 호스트를 확인하는 방식과 동일하게 iSCSI로 연결된 호스트를 확인하기 위해 중간급이나 기업급 스토리지 배열 장치를 작동시키면서, 스위치는 동적으로나 정적으로 실제 파이버 채널에 맞추어 iSCSI 이니시에터를 측량할 수 있다.

iSCSI 액세스 컨트롤 - IT 관리자는 액세스 컨트롤을 타깃, VSAN, 스토리지 장비, 인터페이스 기반 iSCSI 이니시에터에 적용할 수 있다. "후자의 경우 개별적인 iSCSI 타깃은 기가비트 이더넷 인터페이스나 서브인터페이스, VLAN 상에서 광고될 수 있다"고 데일은 말한다.

FCIP - 시스코 MDS 9000 스위치는 SAN 투 SAN 트래픽용 FCIP 역시 지원한다. 데일에 따르면 "FCIP 자체에는 뚜렷한 보안 기능이 없지만, 본래의 파이버 채널에 통용되는 현행 보안 방식을 이용할 수는 있다. 포트 보안과 FC-SP DH-CHAP 스위치 투 스위치 인증도 포함된다"는 것.

그림 1. 시스코 MDS 9000 시리즈 스위치는 시장조사 기관인 가트너로부터 파이버 채널 SAN 패브릭 보안 분야에서 SAN 보안 분야 중 모두 여섯 개의 핵심 영역에서 최고 등급을 획득했다.


SAN 보안 기술
SAN 보안 기술 IT가 나열하는 취약점 시스코 MDS 9000 시리즈 스위치 기능
서로 다른 서버 관리소로 예정된 트래픽 분리 패브릭과 타킷 액세스 보안 VSANs(Virtual SANs), 하드 보안 할당, 파이버 채널 포트 보안
스위치 투 스위치 커뮤니
케이션 인증과 통합

패브릭과 타킷 액세스 보안, SAN 패브릭 프로토콜 보안, 파이버 채널 포트 보안 파이버 채널 보안 프로토콜(FC-SP), DH-CHAP
데이터 분실 예방하기
위한 암호화
데이터 보전과 비밀 엄수

통합 IP 보안(IPSec) 지원
악의적인 행위 확인하기
위한 트래픽 모니터링
SAN 관리 보안,
SAN 관리 보안
SPAN, RSPAN, 파이버 채널 플로우 통계, 콜 홈, RMON 입구 경보
SAN 장비를 컨트롤하려고 하는 침입자 리스크를 제한하기 위한 보안 관리
  AAA, SSHv2, SNMPv3, 시스로그, NTPv3(Network Time Protocol version3), RBAC




데이터 보존과 비밀 유지
iSCSI나 FCIP도 IP 네트워크 상의 모든 데이터를 보호할 수는 없다. "경로 상의 변종 장비가 엿들을 수 있다면, 링크 전역에서 떠도는 스토리지 데이터를 엿볼 수도 있다"고 데일은 경고한다. 데이터를 보호하기 위해 시스코 멀티프로토콜 스위칭 14+2(MPS 14+2) 라인 카드와 시스코 MDS 9216i 멀티레이어 패브릭 스위치는 통합 하드웨어 기반 IPSec을 지원하게 된다. 와이어 레이트 IPSec 암호화와 비암호화 기능에 AES(Advanced Encryption Standard)와 3DES(Triple Data Encryption Standard)를 제공하면서 말이다.

SAN 보안을 위한 최상의 실행
취약 영역 조언
패브릭 액세스


서로 분리된 VSAN 사용, 언제나 포트 보안 기능 사용, 스위치 투 스위치 패브릭 액세스용 FC-SP DH-CHAP 인증 사용, 할당된 포트 기능을 위한 하드-픽스(hard-fix) 스위치 포트 관리 모드
타깃 액세스


필요한 곳에서 분리를 위한 보안 할당 서비스 사용, 액세스를 최소화시키기 위해 1개 또는 2개의 스위치의 보안 할당 배열만 허용할 것을 고려, 개별적인 패브릭 배열과 VSAN 복원을 나누어 관리하기 위해 VSAN 사용
SAN 패브릭 프로토콜






편의에 따라 WWN 기반 보안 할당을 사용하고 스위치 액세스를 강화하고 1개 또는 2개의 SAN 관리자에 보안 할당 액세스를 제한하기 위해 포트 보안 기능을 사용, 시스코 RBAC를 사용하는 프로토콜 배열을 컨트롤하기 위한 보안 액세스, ISL 포트를 잠그기 위해 포트-보안 기능 장착, 변종 ISL을 막기위해 스위치 투 스위치 인증용 FC-SP DH-CHAP 사용, 플러그 앤 플레이 패브릭 프로토콜 배열보다 더 안전한 정적 배열(Domain_ID와 기본 스위치) 사용 고려
SAN 관리 보안




SAN 관리자에게 적절한 권한을 제공하는 RBAC 사용, 중앙집중식 사용자 어카운트와 감사용 래디우스나 TACACS+ 사용, 관리 프로토콜(SSH, SFTP, SCP, SNMPv3, SSL) 보안 형식 사용, 이벤트의 지속 시간 스탬핑을 위해 모든 스위치 상에 놓인 NTP 장치 작동, 시스로그, 컨피규레이션, 콜 홈을 포함한 모든 이벤트 진행하고 로그



SAN 관리 보안
인증되지 않은 SAN 관리 액세스는 위험하다. 효과적인 방어 체계가 부재한 상태에서 악의적인 유저가 네트워크 배열을 변화시킬 수 있기 때문이다. SAN 관리 액세스에 있어 세 가지 주요한 취약점은 스위치 프로세싱과 조직 안정성, 데이터 통합과 비밀 보장의 붕괴이다. 시스코 MDS 9000은 이런 리스크를 완화시켜준다:

AAA - TACACS+나 래디우스(RADIUS) 중 하나가 중앙집중식 관리 액세스용 인증과 계산 두 가지를 제공할 수 있다. AAA 서버가 사용되지 않을 경우 시스코 MDS 9000 스위치에 연결된 사용자 이름/암호 데이터베이스가 사용될 수 있다.

RBAC - RBAC로 인해 사용자는 VSAN 기반에서 잠재적인 관리 기능 제약과 함께 구체적인 역할을 할당받게 된다. 데일에 의하면 "이러한 접근 때문에 통합 전 관리하던 패브릭 '격리(island)'로 관리자의 액세스를 제한하면서 회사들의 스토리지 통합이 가능해진다"는 것이다.

SSHv2 - 텔넷, rlogin, FTP 같은 불안정한 프로토콜의 대안으로 인증과 암호화를 거친 보안 원격 액세스가 제공된다. TACACS+와 래디우스와 함께 사용 가능하다.

SSLv2와 TLS 1.0 - 시스코 MDS 9000 스위치는 SMI-S(Storage Management Initiative Specifications)와 SAN 환경에서 다양한 벤더 간에 상호 이용이 가능한 CIM(Common Information Model) 기반의 공동 인터페이스를 지원한다. SMI-S를 거친 관리 액세스는 SSL를 통해 보호된다.

SNMPv3 - 애플리케이션 레이어 프로토콜인 SNMP는 네트워크 장비 사이에서 관리 정보의 교환을 조정한다. 시스코 MDS 9000 스위치 제품 모두가 SNMPv1, v2c, v3를 제공한다. SNMPv3(RFC 2271-2275)의 경우, MD5 MAC나 SHA HMAC 알고리즘, DES 암호화를 사용하는 인증과 통합을 공급한다. 뿐만 아니라 시스코 MDS 9000은 SNMPv3(RFC 3826)이 포함된 보다 강력한 128비트 AES 기반 암호화 기능을 지원하고 있다.

시스로그(Syslog) - 시스로그 메시지의 경우 네트워크 장비가 로그 파일을 저장하고 시스코웍스 RME(Resource Manager Essentials) 같은 서버에 보낼 수 있다. 시스로그 메시지는 시스로그 서버, 장비명, 순서 번호, 네트워크 장비로부터 받은 타임스탬프, 메시지 자체에서 나온 타임스탬프를 포함하고 있다.

어카운팅 로그 - 시스코 MDS 9000 스위치는 배열 명령의 어카운팅 감사추적 기능을 지속시킨다. 명령은 또한 RADIUS나 TACACS+ 어카운팅 메시지를 중앙집중식 시스로그나 AAA 서버를 통해서 로그될 수 있다. 주요 감사 로그는 NVRAM에서 저장되며 재시작과 전력 손실을 통해서도 지속된다.

콜 홈 - 이것은 주요한 시스템 고장이 일어날 경우 IT 직원에게 이메일이나 호출기로 메시지를 보낼 수 있는 기능이다. 시스코 TAC(Technical Assistance Center)와 함께 다이렉트 케이스 제네레이션용 시스코 자동 공지(AutoNotify) 서비스도 제공할 수 있다.

패브릭 일관성 체커(Fabric Consistency Checker) - 시스코 MDS 9000 관리 제품에 탑재된 패브릭 일관성 체커는 마스터 정책 스위치로부터 배열 이탈을 집중 감시하며 다른점을 해결하기 위한 방법을 제시한다.

ACL - 관리자는 ACL을 다양한 관리와 기가비트 이더넷 인터페이스에 적용시킴으로써 IP 주소 집결지에 관리와 IP 액세스를 제한할 수 있다.

회사에 필요한 SAN 보안 정도는 리스크에 달려있다. "경쟁사와 해커가 노리는 정보가 얼마나 가치가 있느냐를 자문해 보라. 일반적으로 은행의 새로운 신용 카드 문제 같은 하드 코스트(hard cost)와 고객 신뢰도 감소 같은 (soft cost)가 결합돼 있다. 위협을 이해하는 것이 중요하다"라고 데일은 충고한다.

추가자료


■ 시스코 스토리지 네트워킹 솔루션
    cisco.com/go/storagenetworking

 

 


Packet 지난 호 보기